WordPress et Drupal déploient d’importantes mises à jour de sécurité

Une importante faille de sécurité a été trouvée dans plusieurs versions de WordPress et de Drupal. Dans les deux cas, elle est active avec les installations par défaut et des correctifs ont été mis en ligne par les deux sociétés. Il est donc urgent de se mettre à jour si ce n'est pas encore fait.

Les mauvaises nouvelles s'enchaînent pour WordPress. En effet, début juillet, le plug-in MailPoet, très populaire et téléchargé plus de 2 millions de fois, était pointé du doigt à cause d'une faille de sécurité relativement importante, mais bien évidemment corrigée depuis. Cette fois-ci, c'est le cœur même du CMS qui est touché à cause d'une vulnérabilité XML qui peut entraîner un déni de service (DoS) et une utilisation du CPU et de la mémoire vive à 100 %. 

Nir Goldshlager, de chez Break Security (qui est à l'origine de cette découverte), indique que les versions 3.5 à 3.9 de WordPress sont concernées. Mais ce n'est pas tout puisque les moutures 6.x et 7.x de Drupal sont également touchées de la même manière. Dans tous les cas, il n'y a pas besoin d'installer le moindre plug-in,  l'installation par défaut est directement vulnérable.

Bien sûr, des mises à jour ont rapidement été mises en ligne par les deux CMS. WordPress a ainsi déployé la version 3.9.2, qui intègre aussi d'autres correctifs de sécurité, ainsi que les 3.8.4 et 3.7.4 afin de boucher cette faille. L'éditeur précise qu'il ne prend plus en charge les branches précédentes, notamment les 3.6.x et 3.5.x qui sont pourtant concernées. De son côté, Drupal a mis en ligne les versions 7.31 et 6.33 de son CMS. 

Via cette faille, il n'est donc pas question de voler des données, mais de rendre des sites inaccessibles, voire les serveurs sur lesquels ils sont hébergés. Mais étant donné la simplicité de mise en oeuvre, le nombre de sites qui utilisent WordPress et Drupal, les conséquences pourraient être importantes si les mises à jour ne sont pas rapidement faites.